MÁV INFORMATIKA. Kereskedelmi, Szolgáltató és Tanácsadó Zártkörűen Működő Részvénytársaság

Átírás

1 MÁV INFORMATIKA Kereskedelmi, Szolgáltató és Tanácsadó Zártkörűen Működő Részvénytársaság Hitelesítési Rend nyilvános körben kibocsátott nem minősített tanúsítványokra (HR-NMT) Verziószám 3.0 OID szám Hatósági nyilvántartásba vétel napja Hatósági nyilvántartásba vétel száma HL /2008b Hatálybalépés dátuma Copyright MÁV INFORMATIKA Zrt. Minden jog fenntartva MÁV INFORMATIKA Kereskedelmi, Szolgáltató és Tanácsadó Zrt Budapest, Krisztina krt. 37/a., 1253 Budapest Pf. 28, Tel.: , fax: ,

2 HR-NMT verziók Ver zió Dátum A változás leírása Készítette Ellenőrizte Jóváhagyta A fokozott biztonságú szolgáltatói regisztrálásra előkészített változat. Bodlaki Ákos Változások: Eszköz tanúsítvány Nem cégbíróságnál nyilvántartott szervezetek azonosítása-hitelesítése Bodlaki Ákos Felülvizsgált, az NHH észrevételei alapján javított változat Néder Ferenc A Szolgáltató adatainak változásával korrigált változat Néder Ferenc Juhász György, PKI SZE vezető Hosszú Sándor István, vezérigazgató 2/45

3 TARTALOMJEGYZÉK 1. Bevezetés Szolgáltató adatai Áttekintés A Hitelesítési Rend célja Jogszabályok, szabványok Hitelesítési rend azonosítás Felhasználó közösség, alkalmazhatóság A Szolgáltató regisztráló és hitelesítő egységei Regisztráló szervezet Hitelesítő szervezet Hitelesítési Rend és Szabályozási Csoport Előfizetők és Aláírók (Felhasználók) Érintett felek Alkalmazhatóság A hitelesítési rend hatálya Szolgáltatás szintje Tanúsítványok alkalmazhatósága Tanúsítvány osztályok és tanúsítvány fajták Tanúsítványok jellemzői Nyilvános körben kibocsátott nem minősített tanúsítvány (NMT) Tanúsítványok használati osztályainak jellemzői Előfizetői tanúsítvány Szolgáltatói tanúsítvány Tanúsítvány fajták és tulajdonságaik Személyes tanúsítvány Szervezeti személy ( Munkatársi ) tanúsítvány Eszköz tanúsítvány Általános rendelkezések Feladatok és hatáskörök A Szolgáltató feladatai és hatásköre A Hitelesítő Központok feladatai és hatásköre A Regisztrációs Iroda feladatai és hatásköre Az Ügyfélkapcsolati Iroda feladatai és hatásköre A Hitelesítési Rend és Szabályozási Csoport feladatai és hatásköre Az Ügyfélszolgálat feladata Az Igénylő, az Előfizető és Aláíró feladatai és hatásköre Érintett fél feladatai és hatásköre Felelősségek A Szolgáltató felelőssége Előfizető és az Aláíró felelőssége Érintett fél felelőssége Az anyagi felelősség mértéke Értelmezés és alkalmazás Irányadó jog Hatályosság, megszűnés, értesítések Hatályosság Megszűnés Értesítések Vitás kérdések kezelése Díjak Közzététel /45

4 Szolgáltatói információk közzététele A közzététel gyakorisága Elérési szabályok Tanúsítványtár A megfelelőség vizsgálata Vizsgálatok gyakorisága Az átvizsgáló szervezet és a vizsgált fél kapcsolata A vizsgálatok kiterjedése Hiányosságok kezelése Bizalmasság Adatkezelési szabályzat Bizalmas információk Nem bizalmas információk Tanúsítvány visszavonási és felfüggesztési okok felfedése Feltárás törvényi meghatalmazással rendelkezők részére Információszolgáltatás polgári eljárás keretében Feltárás tulajdonos kérésére Feltárás más esetekben Szellemi tulajdonhoz fűződő jogok Azonosítás és hitelesítés Regisztráció Nevek típusa Nevek szemantikája Nevek egyedisége Név igénylési viták feloldása Védjegyek elismerésének és hitelesítésének módszere Az aláírás-létrehozó adat birtoklás ellenőrzésének módszere Személyazonosság megállapítása Szervezeti hovatartozás megállapítása Eszköz azonosság megállapítása Érvényes tanúsítvány megújítása (tanúsítvány frissítése) Érvénytelen tanúsítvány megújítása Felfüggesztés és visszavonási kérés A működésre vonatkozó követelmények Tanúsítványigénylés Tanúsítvány kibocsátás Tanúsítvány elfogadás Tanúsítvány felfüggesztés és visszavonás Visszavonáshoz/felfüggesztéshez vezető körülmények Visszavonás/felfüggesztés kérelmezése Visszavonási eljárás Visszavonási kérelemre vonatkozó türelmi idő Felfüggesztési eljárás Felfüggesztett állapotra vonatkozó korlátozások Visszavont Tanúsítványok Listája (CRL) és kibocsátásának gyakorisága Visszavont Tanúsítványok Listája ellenőrzési követelmények Visszavonási állapot közlés más formái Követelmények magánkulcs kompromittálódás esetén Biztonsági audit eljárások Naplózott esemény típusok Napló adatok tárolása Adatarchiválás Az archívum megőrzési időtartama Az archívum védelme /45

5 4.6. Katasztrófa elhárítás A hitelesítés-szolgáltatás azonnali felfüggesztése Hardver, szoftver, vagy adatsérülés esete Hitelesítés szolgáltató tevékenység megszüntetése Fizikai, eljárásrendi, és humán biztonsági szabályozások Fizikai biztonsági szabályozások Eljárásrendi szabályozások Az egyes munkakörökben elvárt azonosítás és hitelesítés Humán szabályozások Bizalmi munkakörök Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények Kiképzési követelmények Műszaki biztonsági óvintézkedések Kulcspár előállítás és telepítés Kulcspár előállítás Aláírás-létrehozó eszköz megszemélyesítés Az aláírás-létrehozó adat eljuttatása az Aláíróhoz (Előfizetőhöz) Az Aláírók aláírás-ellenőrző adatának eljuttatása az érintett felekhez A Szolgáltató aláírás-ellenőrző adatainak eljuttatása a felhasználói közösséghez Kulcs méretek, használt algoritmusok Kulcs felhasználási célok Az aláírás-létrehozó adat védelme A több-szereplős ( n-ből m ) magánkulcs visszaállítás ellenőrzése Aláírás-létrehozó adat letét, mentés, archiválás Aláírás-létrehozó adat aktiválása Aláírás-létrehozó adat deaktiválása Aláírás-létrehozó adat megsemmisítése Kulcspár kezelés egyéb aspektusai Aláírás-ellenőrző adat archiválása Aláírás-létrehozó és aláírás-ellenőrző adatok felhasználási ideje Aktivizáló adatok (PIN kódok) Számítógép biztonsági szabályok Számítógép biztonság technikai követelményei Életciklus technikai szabályok Rendszerfejlesztési szabályok Biztonságkezelési szabályok Hálózati biztonsági szabályok Kriptográfiai modul ellenőrzése Tanúsítvány és tanúsítvány-visszavonási profil Tanúsítvány profil Alap mezők Tanúsítvány kiterjesztések Tanúsítvány-visszavonási profil Tanúsítvány visszavonási lista és Tanúsítvány visszavonási lista bejegyzési kiterjesztések HR-NMT adminisztráció A HR-NMT változáskezelés Közzétételi és tájékoztatási elvek HR-NMT elfogadási eljárások Hivatkozások és Meghatározások Hivatkozások Meghatározások /45

6 1. Bevezetés A jelen Hitelesítési Rend (továbbiakban (HR-NMT) a MÁV INFORMATIKA Zrt. (továbbiakban Szolgáltató) fokozott biztonságú elektronikus aláírás hitelesítés-szolgáltatása keretében kibocsátott aláírás-létrehozó adatok hitelességét bizonyító tanúsítványok kezelésére (előállítás, kibocsátás, közzététel, felfüggesztés, visszavonás, megújítás stb.) vonatkozó követelményeket, a tanúsítványok szerkezetét, a tanúsítványok tartalmának és érvényességének ellenőrzési eljárásait és a szolgáltatás működtetésének követelményeit tartalmazza. A Szolgáltató a hitelesítés szolgáltatást a vele előfizetői szerződéses viszonyban álló ügyfelei (előfizetői) és az elektronikus aláírások hitelességét ellenőrző érintett felek részére szolgáltatja. A jelen Hitelesítési Rend érvényesítésében a következő szervezetek és személyek érintettek: a. a Szolgáltató személyzete, annak érdekében, hogy a szolgáltatási tevékenység a hatályos jogszabályokkal és a Szolgáltató vezetésének elvárásaival összhangban valósuljon meg b. az ellenőrző hatóságok c. a belső és külső auditorok A Szolgáltató szolgáltatásait a vele előfizetői szerződéses viszonyban álló Előfizetők részére és az elektronikus aláírások hitelességét ellenőrző érintett felek részére nyújtja. A fokozott biztonságú elektronikus aláírással kapcsolatos szolgáltatások (továbbiakban: szolgáltatások) keretében a Szolgáltató az Előfizetők és velük kapcsolatban álló Aláírók részére a évi XXXV. törvényben meghatározott szolgáltatások közül a következőket nyújtja: a. elektronikus aláírás hitelesítés-szolgáltatás (a továbbiakban: hitelesítés-szolgáltatás) b. aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése 1.1. Szolgáltató adatai Név: MÁV INFORMATIKA Kereskedelmi, Szolgáltató és Tanácsadó Zártkörűen Működő Részvénytársaság Cégjegyzék szám: Székhely: 1012 Budapest, Krisztina krt. 37/a. Levélcím: 1253 Budapest Pf. 28 Telefonszám: (36-1) Telefax szám: (36-1) Internetes honlap címe: Szolgáltatás internetes honlapjának címe: Illetékes fogyasztóvédelmi felügyelőség: Nemzeti Fogyasztóvédelmi Hatóság Közép-magyarországi Regionális Felügyelősége 1052 Budapest, Városház u. 7. Telefon: , telefax: , fogyasztovedelem@pest.b-m.hu Fogyasztókapcsolati Iroda 1088 Budapest, József krt. 6. Telefonszám: , Ingyenes zöldszám: , Telefax: Kapcsolat az ügyfelekkel: Az ügyfélkapcsolatok (általános és részletes tájékozódás, szerződéskötés, aláírás-létrehozó eszköz átadása, visszavonási kérelem megerősítése, stb.) biztosítása érdekében a Szolgáltató Ügyfélkapcsolati Irodákat tart fenn, melyeket az ügyfelek személyesen azok nyitvatartási idejében kereshetnek fel. A mindenkori nyitvatartási rendeket a Szolgáltató a Szolgáltatás honlapján teszi közzé. A központi Ügyfélkapcsolati Iroda címe: Budapest, I. Krisztina krt. 37/a. A központi Ügyfélkapcsolati Iroda munkaidőben elérhető telefonon a előfizetői közvetlen számon, vagy a központi számon, valamint elektronikus levélben a hiteles@mavinformatika.hu címen. A területi ügyfélkapcsolati irodák címe és elérhetősége a Szolgáltatás Internetes honlapján keresztül érhető el. 6/45

7 A tanúsítványok felfüggesztésére a Szolgáltató folyamatos (7x24 órás) ügyfélszolgálatot (Help Desk szolgálatot) ad. Az Ügyfélszolgálat elérhető a as zöldszámon, a közvetlen számon, a központi számon, valamint elektronikus levélben a helpdesk@mavinformatika.hu címen. Panaszok bejelentésének helye: a. személyesen az Ügyfélkapcsolati Irodákban b. írásban a Szolgáltató székhelyére címezve c. telefonon az Ügyfélkapcsolati Irodákban vagy az Ügyfélszolgálatnál d. elektronikus levélben a mavinformatika@mavinformatika.hu és a hiteles@mavinformatika.hu címeken 1.2. Áttekintés A Hitelesítési Rend célja A HR-NMT egy olyan szabálygyűjtemény, mely egy Tanúsítvány felhasználhatóságát határozza meg egy közös biztonsági követelményekkel rendelkező közösség és/vagy alkalmazás számára, valamint rögzíti azokat a követelményeket, amelyeket a Szolgáltatónak a tanúsítvány kezelés folyamatában teljesítenie kell. Jelen dokumentumban a követelmények a nyilvános körben kibocsátott nem-minősített tanúsítványokra [rövidítve: NMT] vonatkoznak. A nem minősített tanúsítványok kibocsátására és felhasználására vonatkozó szabályokat a Szolgáltató Szolgáltatási Szabályzat fokozott biztonságú elektronikus aláírás-hitelesítés szolgáltatáshoz c. szabályzata (továbbiakban: HSZSZ-F) tartalmazza. A tanúsítványok végfelhasználóinak tevékenységére vonatkozóan jelen HR-NMT-től és Szolgáltatótól független belső szabályzatok is élhetnek előírásokkal. Amennyiben e szabályzatok bármely vonatkozásban ellentmondást vagy eltérő kikötést tartalmaznának, a jelen HR-NMT előírásai és az elektronikus aláírással kapcsolatos jogszabályok tekinthetők magasabb szintűnek, s ezek alkalmazandók Jogszabályok, szabványok A jelen hitelesítési rend a következő jogszabályokat, szabványokat és ajánlásokat veszi figyelembe a HSZSZ-M teljes tartalmára vonatkozóan: évi XXXV. törvény az elektronikus aláírásról (a továbbiakban: Eat.), 3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről ISO/IEC : Információ technológia - Biztonsági módszerek - Informatikai biztonság értékelési kritériumai (1-3 részek) A hitelesítési rend szerkezetére és tartalmára vonatkozóan: RFC 2527 (Internet X.509 Nyilvános kulcsú infrastruktúra tanúsítvány és szolgáltatási szabályzat keretrendszer) Európai Unió ETSI TS szabvány, American Bar Association (ABA), PKI Assessment Guidelines (PAG), A tanúsítványok, visszavonási listák szerkezetére és tartalmára vonatkozóan: International Telecommunication Union X.509 Információ technológia Nyílt rendszerek kapcsolódása - Könyvtár: Nyilvános kulcs és attribútum tanúsítvány keretrendszer RFC 2459 illetve RFC 3280 (Internet X.509 Nyilvános kulcsú infrastruktúra Tanúsítvány és Tanúsítvány visszavonási lista profil) ITU-T X.509 Information technology - Open Systems Interconnection - The Directory: Public -key and attribute certificate frameworks ajánlás 3. verziója, RFC 3739 (Internet X.509 Nyilvános kulcsú infrastruktúra Minősített tanúsítvány profil) ISO 3166 szabvány 7/45

8 Az informatikai biztonsági követelményekre vonatkozóan: MeH ITB 12. ajánlás, ITSEC 1, CC 2 A kriptográfiai modulra, az aláírás-létrehozó eszközre vonatkozóan: NIST FIPS PUB (1994. január 11.) (Kriptográfiai modulok biztonsági követelményei), ITSEC, CC, CEN munkacsoport egyezmény: Védelmi profil hitelesítés-szolgáltató aláíró műveleteit megvalósító kriptográfiai modulra (MCSO-PP, HSM-PP), CEN munkacsoport egyezmény: Védelmi profil hitelesítés-szolgáltató kulcs előállítási szolgáltatásait megvalósító kriptográfiai modulra (CMCKG-PP, HSM-PP) CWA , és a CWA ,-2,-3,-4 CEN Workshop Agreement-ek 1.3. Hitelesítési rend azonosítás A HR-NMT a nem minősített tanúsítványok kezelését, az ezzel kapcsolatos eljárásokat és szabályokat írja le. A nem minősített tanúsítvány objektum azonosítója: Jelen dokumentum teljes neve: Hitelesítési Rend nyilvános körben kibocsátott nem minősített tanúsítványokra. Rövidített neve: Hitelesítési Rend nem minősített tanúsítványokra. A jelen dokumentumban HR-NMT-ként történik rá hivatkozás. A HR-NMT a Szolgáltató belső dokumentuma. Jelen HR-NMT-nek csak a Szolgáltató aláírásával ellátott változata tekinthető hitelesnek Felhasználó közösség, alkalmazhatóság A Szolgáltató által kibocsátott tanúsítványokat felhasználó közösség a következő: a. a Szolgáltató regisztráló és hitelesítő egységei, a szolgáltatást működtető elektronikus aláírásra feljogosított munkatársai b. az Előfizetők és az Aláírók 1 ITSEC = Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok) az Európai Közösség ajánlása az IT termékek és rendszerek biztonságának funkcionális és minősítési követelményeire. 2 CC = Common Criteria (Közös /Informatikai Biztonsági/ Követelmények) az Európai Közösség, az Egyesült Államok és Kanada közös ajánlása az IT termékek biztonsági minősítésének követelményeire. 8/45

9 c. az Előfizetők és az Aláírók informatikai eszközei (szerverek, kommunikációs kapcsolatok, alkalmazások, stb.) d. az érintett felek A Szolgáltató regisztráló és hitelesítő egységei A Szolgáltató regisztráló és hitelesítő egységei: Az Ügyfélkapcsolati Irodák, melyek elvégzik az igénylők (a későbbi Előfizetők) adatainak felvételét, az Előfizető személyazonosságának megállapítását, a tanúsítvány kérelmek összeállítását és gondoskodnak az előfizetői szerződésben foglaltak teljesítéséről. A Regisztrációs Iroda, mely a szolgáltatás keretein belül biztosítja az Előfizetők technikai regisztrációját, a tanúsítványok felfüggesztés és visszavonás kezelését és az aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezését. A Szolgáltató Hitelesítő Központja, amely a szolgáltatás-támogató informatikai rendszer központi erőforrásaiból, azt ezt körülvevő biztonságos fizikai környezetből valamint az üzemeltetést és szolgáltatást ellátó személyzetből áll Regisztráló szervezet A regisztráló szervezetek a Szolgáltató és a vele szerződéses alapon együtt működő Társaságok (mint szerződött közreműködők) azon szervezeti egységei, amelyek az előfizetők adatainak regisztrációját, ellenőrzését, az előfizető személyazonosságának és hitelességének megállapítását, a tanúsítvány kérelmek összeállítását, a regisztráló szervezethez történő továbbítását, és egyéb azonosítási, tanúsítványmenedzsment és adminisztrációs feladatokat látnak el. Egy regisztráló szervezethez tartozó előfizetők önálló közösséget alkothatnak, melyre a Szolgáltató, vagy a vele szerződéses alapon együtt működő Társaságok (mint szerződött közreműködők) további szabályokat is alkalmazhatnak. A regisztráló szervezetek által létrehozott szabályok nem tartalmazhatnak olyan kikötést, amely ellentétben áll a Hitelesítési Rend és Szabályozási Csoport által jóváhagyott Szabályzatokkal. A regisztráló szervezet az elektronikus aláírás hitelesítés-szolgáltatás keretein belül biztosítja az előfizetői regisztrációt, a tanúsítványok felfüggesztés és visszavonás kezelését és az aláírás-létrehozó eszközön az aláíráslétrehozó adat elhelyezését. Egyúttal közreműködik további elektronikus aláírással kapcsolatos szolgáltatások biztosításában: tanúsítvány előállítás, kibocsátás és visszavonási állapot közzététele Hitelesítő szervezet A hitelesítő szervezet a Szolgáltató központi eleme, amely a szolgáltatás-támogató informatikai rendszer központi erőforrásaiból, azt ezt körül vevő biztonságos fizikai környezetből, valamint az üzemeltető és szolgáltatást ellátó személyzetből áll. Feladata a különböző osztályú és típusú aláírás-létrehozó adatok és tanúsítványok előállítása, ezek publikálása, a regisztráló szervezettől érkező módosítási, felfüggesztési, újra aktivizálási, visszavonási és megszüntetési igényeknek a Szolgáltatási Szabályzat fokozott biztonságú elektronikus aláírás hitelesítésszolgáltatáshoz (továbbiakban: HSZSZ-F) szerinti végrehajtása és a szolgáltatást támogató informatikai rendszer üzemeltetése Hitelesítési Rend és Szabályozási Csoport A Hitelesítési Rend és Szabályozási Csoport a Szolgáltató által létrehozott szervezeti egység, amely a hitelesítés szolgáltatással kapcsolatos hitelesítési rendek és szolgáltatási szabályzatok kialakításáért, elfogadásáért, karbantartásáért és adminisztrációjáért felelős. A Hitelesítési Rend és Szabályozási Csoportnak függetlennek kell lennie a PKI Szolgáltató Egységtől. A Hitelesítési Rend és Szabályozási Csoport feladata általában a hitelesítés szolgáltatáshoz kapcsolódó házirendek és szabályzatok elkészítése. Amennyiben a PKI Szolgáltató Egység vagy bármely más szervezeti egység, illetve külső megbízott készít el házirendet vagy szabályzatot, akkor a Hitelesítési Rend és Szabályozási Csoportnak ellenőriznie kell azokat megfelelőség szempontjából Előfizetők és Aláírók (Felhasználók) Előfizető a Szolgáltatóval szerződéses viszonyban álló felhasználó, aki számára a Szolgáltató Tanúsítványt bocsát ki. Előfizető lehet természetes vagy jogi személy. Aláíró az a természetes személy, aki az aláírás-létrehozó eszközt birtokolja és a saját vagy más személy nevében aláírásra jogosult. Az Előfizető lehet egyben Aláíró is, ha saját maga birtokolja és használja az aláírás-létrehozó eszközt. Eszköz tanúsítvány esetében az aláíró egy számítástechnikai eszköz. 9/45

10 Érintett felek Az Érintett fél (aláírás Ellenőrző) olyan természetes vagy jogi személy, aki vagy amely, az aláírt elektronikus dokumentum fogadója, és egy adott Tanúsítványon alapuló elektronikus aláírásra hagyatkozva jár el az aláírás hitelességének ellenőrzésekor Alkalmazhatóság A hitelesítési rend hatálya A hitelesítési rend időbeli hatálya a hatálybalépés dátumával kezdődik és határozatlan időre szól. Időbeli hatálya megszűnik a szolgáltatási tevékenység beszüntetésekor, illetve egy újabb szabályzat verzió hatályba lépésével. A hitelesítési rend személyi hatálya a szolgáltatóra, annak a szolgáltatásban közreműködő munkatársaira és a felhasználói közösségre terjed ki. A hitelesítési rend tárgyi hatálya a következőkre terjed ki: a. az 1. pontban meghatározott szolgáltatásokra b. a Szolgáltatónak a hitelesítés szolgáltatással kapcsolatban álló összes objektumára és tárgyi eszközére Szolgáltatás szintje A Szolgáltató a évi XXXV. törvény az elektronikus aláírásról (Eat.) szerinti szolgáltatásokat nyújtja fokozott biztonságú szinten, melyek az alábbi összetevőkből épülnek fel: a. Tanúsítvány kialakítási szolgáltatás, ebben regisztráló szolgáltatás és egyedi-név szolgáltatás, valamint megszemélyesítési szolgáltatás b. Tanúsítvány kiadás és tanúsítvány szétosztási szolgáltatás c. Felfüggesztési és visszavonás kezelési szolgáltatás d. Tanúsítvány megújítási szolgáltatás e. Aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése f. Aláírás-létrehozó eszköz fizikai megszemélyesítése (arculati elemek elhelyezése az eszközön) Tanúsítványok alkalmazhatósága Az előfizetői tanúsítványok alkalmazhatóságára a következő szabályok érvényesek: Engedélyezett alkalmazási lehetőségek A kibocsátott magánkulcsok elektronikus dokumentumon kizárólag elektronikus aláírások megtételére használhatók. A magánkulcsokhoz tartozó nyilvános kulcsok az elektronikus aláírások ellenőrzésére használhatók fel. Korlátozott alkalmazási lehetőségek Szolgáltató területi, pénzügyi, stb. korlátozásokat szabhat saját belső hitelesítési rendje szerint, amelyeket a kibocsátott előfizetői Tanúsítványban fel kell tüntetni. Egyébként a Szolgáltató nem korlátozza a kibocsátott tanúsítványok felhasználhatóságát. Az Előfizető szervezet élhet korlátozásokkal Aláíró és érintett felek tanúsítvány felhasználási tevékenységével kapcsolatosan. Tiltott alkalmazási lehetőségek Az előfizetői tanúsítványok más nyilvános kulcsú tanúsítványok aláírására történő felhasználása, vagy bármilyen hitelesítés szolgáltatás nyújtásához történő alkalmazása tilos. A fentiek alapján a kibocsátott Tanúsítványok (illetve az ezekhez kapcsolódó kulcspárok) felhasználhatók minden olyan számítástechnikai alkalmazásban, amely támogatja a PKI technológián alapuló elektronikus aláírási, le nem tagadhatósági funkciókat. A Szolgáltató nem vállal felelősséget az elektronikus aláírásra kibocsátott aláírásellenőrző adat, illetve az aláírás-létrehozó adat titkosításra, vagy más, az elektronikus aláírástól eltérő felhasználására vonatkozóan. Jelen hitelesítési rend alapján kibocsátott tanúsítványok csak az 1.4 fejezetben meghatározott hitelesítésszolgáltató és felhasználó közösség körében használhatók az Előfizetői Szerződésben meghatározott összeghatárok szerinti korlátokkal, betartva a tanúsítványokban található esetleges egyéb korlátozásokat is. A tanúsítvány használatára vonatkozó kitételeket a Tanúsítványban is rögzíteni kell. A tanúsítvány kitételektől eltérő használata az Aláíró egyéni felelőssége és kockázata, ahogy az ilyen módon felhasznált tanúsítvány elfogadása is az érintett fél (aláírás Ellenőrző) felelőssége és kockázata. 10/45

11 1.5. Tanúsítvány osztályok és tanúsítvány fajták A jelen hitelesítési rend a nyilvános körben kibocsátott nem minősített tanúsítványokat és az ezzel kapcsolatos követelményeket írja le. Szolgáltató által kibocsátott Előfizetői tanúsítványok érvényességi ideje 1 év Tanúsítványok jellemzői A tanúsítványoknak tartalmazniuk kell az alábbiakat: a. a Szolgáltató és székhelyének (ország-) azonosítóját b. az Aláíró nevét (vagy egy álnevét, ennek jelzésével) c. a tanúsítvány szándékolt felhasználásától függően az Aláíró külön jogszabályban, a Szolgáltatási Szabályzatban és az Általános Szerződési Feltételekben (továbbiakban: ÁSZF-F-ben) meghatározott speciális jellemzőit d. az Aláíró által birtokolt aláírás-létrehozó adatnak megfelelő aláírás-ellenőrző adatot e. a tanúsítvány érvényességi idejének kezdetét és végét, f. a tanúsítvány azonosító kódját g. a tanúsítványt kibocsátó Szolgáltató fokozott biztonságú elektronikus aláírását h. a tanúsítvány használhatósági körére vonatkozó esetleges korlátozásokat i. a tanúsítvány felhasználásának korlátjait, (beleértve a kötelezettségvállalás korlátait is) j. szervezet képviseletére jogosító elektronikus aláírás tanúsítványa esetén a tanúsítvány ezen minőségét és a képviselt szervezet azonosító adatait Nyilvános körben kibocsátott nem minősített tanúsítvány (NMT) Az NMT olyan tanúsítvány, amely: a. megfelel az Eat. előírásainak b. olyan Szolgáltató adta ki, amely szerepel az NHH nyilvántartásában c. nyilvános körben került kibocsátásra Tanúsítványok használati osztályainak jellemzői Előfizetői tanúsítvány Előfizetői tanúsítvány a Szolgáltatóval szerződéses viszonyban álló Előfizető számára kibocsátott tanúsítvány. Előfizetői tanúsítvány olyan természetes személyeknek vagy szervezeteknek adható ki, amelyeknél a Szolgáltató az Aláírót hitelesítő dokumentumokra és írásos nyilatkozatokra alapozott biztonsági ellenőrzéssel azonosítja. Ha az Aláíró természetes személy jogi személyt képvisel, akkor a képviseleti jogot írásos megbízói nyilatkozattal kell igazolni Szolgáltatói tanúsítvány A szolgáltatói tanúsítványokat Szolgáltató csak saját célra bocsátja ki, a szolgáltatási termékek előállításának biztosítására. Előfizető ezeket nem igényelheti Tanúsítvány fajták és tulajdonságaik A Szolgáltató a következőkben meghatározott tanúsítványokat adhatja ki Előfizetők részére, illetve saját céljaira Személyes tanúsítvány Személyes tanúsítványt európai uniós állampolgárságú természetes személy igényelhet a saját nevében. A személyes tanúsítvány esetében az Előfizető és az Aláíró jellemzően ugyanaz a személy. A tanúsítvány Country és Locality mezőjében az Aláíró lakóhelyének országkódja és helységneve, a Common Name mezőben az Aláíró neve vagy álneve, az E mezőben az Aláíró címe szerepel. Amennyiben az Aláíró hozzájárul, a tanúsítvány STREET mezőjében az Aláíró lakcímében szereplő utca neve és a házszáma, a PostalCode mezőjében az Aláíró lakcímében szereplő irányítószám is szerepel. A tanúsítvány Organization és Organization Unit mezői üresen maradnak. Az álnév jelzésére a tanúsítvány CN mezőjében található szöveg ~ (tilde) karakterrel kezdődik és végződik (pl. CN= ~Superman~ ). Amennyiben a tanúsítvány CN mezőjében nem az aláíró azonosítására használt okmány(ok)ban szereplő név kerül megadásra, úgy ez a mező álnévként kerül rögzítésre. A tanúsítvány egyéb ellenőrzött adatokat is tartalmazhat, különböző kiterjesztés mezőkben. 11/45

12 Szervezeti személy ( Munkatársi ) tanúsítvány Szervezeti személy (vagy másképpen: Munkatársi ) tanúsítványokat természetes személy igényelhet egy adott szervezet alkalmazottjaként és/vagy tisztségviselőjeként. Ebben az esetben az Előfizető a szervezet, az Aláíró a szervezetet képviselő személy (a szervezet munkatársa). Az Előfizetői Szerződésben a szervezet által vállalt kötelezettségek egyetemlegesen érvényesek a szervezetet képviselő Aláíróra. A tanúsítvány Country és Locality mezőjében az előfizető szervezet székhelyének vagy telephelyének országkódja és városa; az Organization mezőben az előfizető szervezet neve; az Organizational Unit mezőben az igényt támasztó szervezeti egység neve (ha van ilyen); a Common Name mezőjen az aláírásra kijelölt szervezeti személy neve vagy álneve; a STREET mezőben az előfizető szervezet székhelyének vagy telephelyének címében szereplő utcanév és a házszám; a PostalCode mezőben a címben szereplő irányítószám; a Title mezőben az aláírásra kijelölt szervezeti személy beosztása (opcionálisan); az E mezőben az aláírásra kijelölt szervezeti személy címe szerepel. Az álnév jelzésére a tanúsítvány CN mezőjében található szöveg ~ (tilde) karakterrel kezdődik és végződik (pl. CN= ~Superman~ ). Amennyiben a tanúsítvány CN mezőjében nem az aláíró azonosítására használt okmány(ok)ban szereplő név kerül megadásra, úgy ez a mező álnévként kerül rögzítésre. A tanúsítvány egyéb ellenőrzött adatokat is tartalmazhat, különböző kiterjesztés mezőkben Eszköz tanúsítvány Eszköz tanúsítványt természetes személy vagy szervezet igényelhet az általa működtetett informatikai eszköz részére. Tipikus eszközök: web szerver, WAP szerver, VPN, stb. A tanúsítvány Country és Locality mezőjében a szervezet telephelyének országkódja és városa, az Organization mezőben a szervezet neve (ha van ilyen), az Organizational Unit mezőben a szervezeti egység neve (ha van ilyen), az E mezőben az Előfizető címe, a Common Name mezőjében az eszköz neve szerepel. Szerver tanúsítványok esetében a tanúsítvány Title mezője a szerver vagy Szerver szöveget tartalmazza. A tanúsítvány egyéb ellenőrzött adatokat is tartalmazhat, különböző kiterjesztés mezőkben. 12/45

13 2. Általános rendelkezések 2.1. Feladatok és hatáskörök A Szolgáltató feladatai és hatásköre 1. A Szolgáltatónak gondoskodnia kell a hitelesítés-szolgáltatásra vonatkozó valamennyi, a jelen hitelesítési rendben részletezett állítás teljesüléséről, amennyiben azok az adott tanúsítványra alkalmazhatók. 2. A Szolgáltatónak szolgáltatásait nyilvánosan elérhetővé kell tenni. 3. A Szolgáltató jogi személy. 4. A Szolgáltató köteles rendszeresen felülvizsgálni és újra kiadni a jelen hitelesítési rendet és szolgáltatási szabályzatait. 5. A Szolgáltató csak az Előfizető által szolgáltatott és az Ügyfélkapcsolati Irodák által elfogadott adatok alapján bocsáthatja ki a tanúsítványokat. A Szolgáltató a tanúsítvány kibocsátását követően a tanúsítvány adataiban nem változtathat. 6. A Szolgáltató köteles Tanúsítványtárában közzétenni az általa kibocsátott, felfüggesztett és visszavont előfizetői tanúsítványokat. 7. A Szolgáltató kötelezettséget vállal arra, hogy a regisztrációt követő napokban, de legkésőbb 30 munkanapon belül a tanúsítvány kiadására intézkedik és erről az Előfizetőt értesíti. 8. A Szolgáltatónak a szolgáltatások működtetése és menedzselése során ügyfélkapcsolati tevékenységet kell biztosítania. 9. A Szolgáltatónak az Internetes honlapján keresztül bárki számára folyamatosan elérhetővé kell tenni a jogszabály szerinti nyilvántartásokat és a tanúsítvány kibocsátására vonatkozó szolgáltatási szabályzatait. 10. A Szolgáltató a lejárat előtt értesítést küldhet a lejáró tanúsítványokról az Előfizető részére. 11. Szolgáltató a Tanúsítványban köteles feltünteti az Előfizetői Szerződésben rögzített, a tanúsítvány felhasználhatóságával kapcsolatos korlátozásokat. 12. A Szolgáltató közzétételi kötelezettség mellett felfüggesztheti vagy visszavonhatja a tanúsítványt ha azt a fejezetben részletezett körülmények ezt indokolják 13. Szolgáltató köteles megőrizni a tanúsítványokkal kapcsolatos adatokat és az ahhoz kapcsolódó személyes adatokat legalább a tanúsítvány érvényességének lejáratától számított 10 évig, illetőleg amennyiben ezen időszakban az elektronikus aláírással vagy az azzal aláírt elektronikus dokumentummal kapcsolatosan jogvita merül fel és azt a Szolgáltatónak írásban bejelentették a jogvita jogerős lezárásáig. Ugyanezen határidőig olyan eszközt is köteles biztosítani, amellyel a kibocsátott tanúsítványok tartalma megállapítható. 14. Ha a Szolgáltató be kívánja fejezni tevékenységét, erről legalább hatvan nappal korábban köteles értesíteni az Előfizetőket és a Nemzeti Hírközlési Hatóságot. A bejelentés időpontjától kezdve a Szolgáltató nem bocsáthat ki új Tanúsítványt. A Szolgáltató a tevékenység befejezése előtt köteles visszavonni az általa kibocsátott és még érvényes tanúsítványokat. A Szolgáltató a tevékenysége befejezéséig köteles eleget tenni a nyilvánosságra hozatali kötelezettségének. 15. A Szolgáltató intézkedni köteles az iránt, hogy legkésőbb a tevékenysége befejezésekor más - vele legalább azonos besorolású - szolgáltató átvegye nyilvántartásait, így különösen a visszavont tanúsítványok nyilvántartását, valamint ellássa a hatályos jogszabályokban foglalt feladatokat. A Szolgáltató a visszavont tanúsítványokkal kapcsolatos minden adatot - beleértve a személyes adatokat is köteles átadni ezen szolgáltatónak A Hitelesítő Központok feladatai és hatásköre A Szolgáltató által működtetett hitelesítő központok feladata a tanúsítványok előállítása és a visszavonási listák aláírásával közreműködés a visszavonási állapot közzétételében. A tanúsítványok előállítása során aláírják a tanúsítvány adatokat és kötelesek gondoskodni arról, hogy a kibocsátott tanúsítványokhoz tartozó kulcsok és a tanúsítványokba foglalt nevek egyediek legyenek a szolgáltatás körén belül. A visszavonási állapot közzétételében való közreműködés keretén belül kötelesek fogadni a visszavonási kérelmeket, új tanúsítvány visszavonási listát készíteni és azt aláírással hitelesíteni. Az 1. szintű Root CA alapvető feladata és hatásköre a 2. szintű Produktív CA és az időbélyegző egység hitelesítése, ezen belül feladatai tételesen a következők: 1. Saját (szolgáltatói) kulcspár generálása és tanúsítvány előállítása önhitelesítéssel, magánkulcsának fokozott biztonságú védelme 13/45

14 2. További szolgáltatói kulcspárok és tanúsítványok előállítása 3. A 2. szintű hitelesítő központok ("Produktív CA -k) hitelesítési kérelmeinek fogadása és ellenőrzése, részükre tanúsítványok előállítása, hitelesítése 4. A Pruduktív CA tanúsítvány visszavonási és tanúsítvány megújítási kérelmeinek feldolgozása. 5. A Pruduktív CA tanúsítványainak és visszavonási listáinak publikálása a Tanúsítványtárban. A 2. szintű Produktív CA Hitelesítő Központ alapvető feladata és hatásköre a Regisztrációs Iroda ("RA") és az általa regisztrált Előfizetők tanúsítványainak hitelesítése: 1. Saját szolgáltatói kulcspár generálása és magánkulcsának fokozott biztonságú védelme. 2. A Regisztrációs Iroda hitelesítési kérelmeinek fogadása és ellenőrzése. 3. Szolgáltatói kulcspár generálás és tanúsítvány előállítás a Regisztrációs Iroda részére, azok eljuttatása a Regisztrációs Irodához. 4. Előfizetői hitelesítési kérelmek fogadása a Regisztrációs Irodától és azok ellenőrzése 5. Előfizetői kulcspár generálás és tanúsítvány előállítás, előfizetői tanúsítványok és tanúsítvány visszavonási listák publikálása a Tanúsítványtárban 6. Regisztrációs Irodától érkező tanúsítvány visszavonási, felfüggesztési, újraérvényesítési és tanúsítvány megújítási kérelmek feldolgozása A Regisztrációs Iroda feladatai és hatásköre A Regisztrációs Iroda fő feladata a hitelesítés-szolgáltatás (regisztráció, kulcsgenerálás, az előfizetői tanúsítvány előállítás, kibocsátás) és az aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése. Egyúttal közreműködik az előfizetői tanúsítvány felfüggesztés és visszavonás kezelés szolgáltatásokban. 1. a tanúsítvány kibocsátásához szükséges ellenőrzések sikeres lefolytatása után a tanúsítvány kibocsátás elindítása a Hitelesítő Központnál, (visszautasítja a tanúsítvány kiadását, amennyiben a tanúsítványigénylés nem felel meg az elvárt feltételeknek) 2. fogadja a Hitelesítő Központtól kapott előfizetői tanúsítványokat és ellenőrzi azok hitelességét és sértetlenségét, 3. kezdeményezi a tanúsítványok elküldését a Tanúsítványtárba 4. megszemélyesíti az aláírás-létrehozó eszközt és azt eljuttatja az Ügyfélkapcsolati Irodához 5. előállítja a kezdeti aktivizáló adatot (PIN kódot), majd azt az aláírás-létrehozó eszköztől elkülönítve eljuttatja az Ügyfélkapcsolati Irodához, 6. szoftveres úton történő kulcspár generálás esetén biztonságos módon eljuttatja a kulcspárt az aláíráslétrehozó eszközbe, olyan biztonságos útvonal kiépítésével, mely kriptográfiai mechanizmusok felhasználásával forráshitelesítést, sértetlenséget és bizalmasságot biztosít, 7. biztonságos módon megsemmisíti az előállított magánkulcs aláírás-létrehozó eszközön kívüli összes példányát, miután az Aláíró részére előállított kulcspárt elhelyezte az aláírás-létrehozó eszközben), 8. formai szempontból ellenőrzi a tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmek hitelességét és érvényességét, végrehajtja a szabályos tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmeket, 9. visszautasítja a szabálytalan tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmeket, 10. fogadja és feldolgozza a tanúsítvány megújítási kérelmeket Az Ügyfélkapcsolati Iroda feladatai és hatásköre Az Ügyfélkapcsolati Iroda szolgáltatás igénylés és teljesítés keretén belül: 1. gondoskodik az Igénylő megfelelő tájékoztatásáról és azonosításáról 2. ellenőrzi a 3.1 pontban előírt adatszolgáltatási követelmények szerint megadott adatok alapján a szolgáltatást igénylő ügyfél személyazonosságát és az Aláíró adatait 3. meghatározza a Tanúsítványba kerülő adatokat, ellenőrzi az Igénylő által átadott dokumentumok valódiságát, érvényességét, sértetlenségét és hitelességét, 4. előkészíti az Előfizetői Szerződést 5. elszámolja és kiszámlázza a szolgáltatások ellenértékét, 6. nyilvántartásba veszi a regisztráció során felvett adatokat és megőrzi azokat. 7. bizalmas információként kezeli az Előfizető és az Aláíró minden adatát, kivéve azokat, amelyek az Előfizető hozzájárulásával a tanúsítványba kerülnek 8. gondoskodik az aláírás-létrehozó eszköz és a PIN boríték biztonságos kezeléséről és átadásáról, 14/45

15 9. tájékoztatja az Előfizetőt tanúsítványa lejáratát megelőzően 15 nappal 10. az Aláíró adatainak változása és tanúsítvány megújítási kérelem esetén ellenőrzi a már korábban nyilvántartásba vett adatokat és intézkedik a Regisztrációs Iroda felé a kérelem teljesítésére. 11. kezeli a szolgáltatással kapcsolatos bejelentéseket, kérdéseket, panaszokat. A visszavonás kezelés szolgáltatás keretén belül: 1. ellenőrzi a tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmek hitelességét, 2. visszautasítja (az ok megjelölésével) a nem hiteles vagy szabálytalan, tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmeket, 3. a visszavonási kérelem elfogadása után intézkedik a tanúsítvány visszavonására, 4. tájékoztatja a visszavont, illetve felfüggesztett tanúsítvány tulajdonosát tanúsítványa állapotának változásáról A Hitelesítési Rend és Szabályozási Csoport feladatai és hatásköre A Hitelesítési Rend és Szabályozási Csoport a hitelesítés-szolgáltatást nyújtó szervezeti egységtől függetlenül működik. Kötelessége a Szolgáltató és a felhasználó Közösség igényeinek felmérése és folyamatos követése, ezek alapján a közösség működésére vonatkozó alapelvek lefektetése, s ebből levezetve a tagok tevékenységét részletesen szabályozó, az egész Szolgáltató szervezetre nézve közös szabályzatok, így a hitelesítési rendek, szolgáltatási és biztonsági szabályzatok készítése és rendszeres karbantartása. A Hitelesítési Rend és Szabályozási Csoport feladatai tételesen a következők: 1. A hitelesítési rendek elkészítése és karbantartása. 2. A szolgáltatási szabályzatok elkészítése és karbantartása. 3. A hitelesítési rendek és szabályzatok közötti összhang biztosítása. 4. A szolgáltatói szabályzatok verzióinak nyilvántartása és megőrzése. 5. Nyilvános szabályzatok hitelesítése, publikálása. 6. A regisztrációs folyamat szabályozása, ellenőrzése, felülvizsgálata Az Ügyfélszolgálat feladata A Tanúsítványokkal kapcsolatos felfüggesztési, illetve visszavonási kérelmeket a Szolgáltató Ügyfélszolgálata telefonon és elektronikus levélben folyamatosan (napi 24 órában) fogadja Az Igénylő, az Előfizető és Aláíró feladatai és hatásköre Az Előfizető és az Aláíró feladata a Szolgáltató szerződéses feltételeinek és szabályzatainak megfelelően eljárni a szolgáltatás igénybevétele során. Ennek során az Előfizető és az Aláíró köteles: 1. önmagát az Ügyfélkapcsolati Irodán okmányokkal igazolni, 2. a tanúsítvány igénylését és magánkulcsának felhasználását úgy végezni, hogy az harmadik fél jogait ne sértse, 3. az Előfizető a regisztráció során a Tanúsítvány kiadásához szükséges adatokat ellenőrizni, 4. az Aláíró biztosítani az aláírás-létrehozó eszközének és adatának, valamint a PIN kódjának védelmét, 5. az Előfizető, illetve az Aláíró 3 (három) munkanapon belül jelezni Szolgáltatnál a regisztráció során felvett adataiban történő változásokat, különös tekintettel a Tanúsítványba foglalt adatokra, 6. az Aláíró az aláírás-létrehozó adatát csak az előfizetői szerződésben rögzített korlátozásoknak megfelelően használhatja, 7. az Aláíró tudomásul venni, hogy magánkulcsának védelme és az elektronikus aláírás készítése kizárólag a saját felelőssége, ezért ezzel - így különösen a magánkulcsának illetéktelen harmadik személyhez kerülésével - kapcsolatban a Szolgáltatót semmiféle felelősség nem terheli, 8. az Előfizető az ÁSZF-F módosításáról szóló értesítést követően 72 órán belül az Aláírókat írásban tájékoztatni a változásokról; 9. az Aláíró azonnal intézkedni Tanúsítványának visszavonása, illetve felfüggesztése végett, ha az aláíráslétrehozó adat és/vagy a PIN kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn. 10. kompromittálódás esetén az Aláíró magánkulcsának használatát azonnal és véglegesen megszakítani, 11. az Aláíró vagy az Előfizető a Tanúsítvánnyal ellátott elektronikus dokumentummal kapcsolatos jogvita megindulásáról köteles haladéktalanul tájékoztatni a Szolgáltatót, 15/45

16 Továbbá: 1. az Aláíró jogosult arra, hogy a magánkulcsot birtokolja és a jogszabályokban meghatározott módon elektronikus aláíráshoz felhasználja, 2. az Aláíró tudomásul veszi, hogy a magánkulcsával készített elektronikus aláírás a saját elektronikus aláírásának minősül, és viseli ennek jogkövetkezményeit; Érintett fél feladatai és hatásköre Az Érintett félnek ajánlott a Szolgáltató szabályzataiban leírtaknak megfelelően a legnagyobb gondossággal eljárni az elektronikus aláírás és a tanúsítvány elbírálásakor, ezen belül: 1. az elektronikus aláírás elfogadása előtt ajánlott megértenie az elektronikus aláírással kapcsolatos technikai, jogi, biztonsági és egyéb vonatkozásokat, 2. ajánlott megismernie Szolgáltató nyilvánosan elérhető szabályzatait (HSZSZ-F, ÁSZF-F), 3. különösen ajánlott az elektronikus aláírás ellenőrzését elvégeznie az Aláíró Tanúsítványának segítségével, meggyőződve az üzenet eredetiségéről és az aláírás valódiságáról, 4. ajánlott egyértelműen meggyőződnie a Tanúsítványban feltűntetett azonosító és egyéb adatok alapján, illetve a törvényesen rendelkezésre álló módszerek segítségével az Aláíró személyéről, 5. a tanúsítvány érvényességét és hatályosságát indokolt ellenőriznie a nyilvánosan elérhető Tanúsítványban, 6. ajánlott elvégeznie a teljes tanúsítási lánc ellenőrzését az alábbiak szerint: 6.1. meggyőződni a Kibocsátó kilétéről a tanúsítvány kibocsátójának azonosítója alapján; 6.2. meggyőződni az Aláíró Tanúsítványának integritásáról a Szolgáltató (Kibocsátó) Tanúsítványának segítségével; 6.3. indokolt ellenőriznie a tanúsítvány állapotát a tanúsítvány visszavonási listák (CRL) áttanulmányozásával; 6.4. ajánlott tanulmányoznia a tanúsítvány összes attribútumát, és az adott tranzakcióra vonatkozó előírásoknak, valamint józan megfontolásoknak megfelelően döntést hozni az aláírás elfogadásáról, 7. ajánlott visszautasítani az elektronikus aláírás elfogadását, ha az elektronikus aláírás, az Aláíró Tanúsítványa, vagy a tanúsítási lánc tanúsítványainak valamely adata, annak érvénytelenségére utal, illetve ha az az adott kontextusban nem elfogadható; az aláírás elfogadása nem jelentheti az aláírt üzenet tartalmának tudomásul vételét vagy elfogadását, 8. Ha az ellenőrzés a tanúsítvány érvényességének lejárta után történik, akkor az Eat. 9. (7. bek.) alapján a szolgáltatónál 10 évig, illetve az aláírt dokumentummal kapcsolatban felmerült jogvita lezárásáig megőrzött, a tanúsítványokkal kapcsolatos elektronikus információkat és ahhoz kapcsolódó személyes adatokat elő lehet keresni és ellenőrizni lehet a tanúsítvány érvényességét. A tanúsítvány tartalmának megállapításához a Szolgáltatónak kell biztosítania a megfelelő eszközt Felelősségek A Szolgáltató felelőssége A Szolgáltató a vele szerződéses jogviszonyban nem álló harmadik személlyel szemben a Magyar Köztársaság Polgári Törvénykönyvéről szóló évi IV. törvény a szerint, az Előfizetővel szemben pedig a szerződésszegésért való felelősség szabályai szerint felelős az elektronikus aláírással aláírt elektronikus dokumentummal okozott kárért, ha megszegte a HSZSZ-F-ben, az ÁSZF-F-ben vagy az előfizetői szerződésben előírtakat, továbbá az Eat. 7. (2) bekezdésében, a okban vagy a 14. -ban foglaltakat. E szabályok megtartását kétség esetén a szolgáltatónak kell bizonyítania. A felelősségvállalás mértékét, mely tanúsítvány típusonként és egyedi tanúsítványonként is maximált összegű, az Előfizetői Szerződésben kell rögzíteni. A Szolgáltató nem vállal felelősséget, ha a Szolgáltató által kibocsátott tanúsítvány a jelen hitelesítési rendben és a szolgáltatási szabályzatban előírtaktól eltérő módon kerül felhasználásra. Így a Szolgáltató nem felelős az olyan károkért, melyek abból adódtak, hogy az Érintett fél a tanúsítványok ellenőrzése és felhasználása során nem a hatályos jogszabályok és Szolgáltató szolgáltatási szabályzata szerint járt el, illetve nem tanúsította a tőle elvárható gondosságot. A Szolgáltató azáltal, hogy az Előfizetők részére tanúsítványokat bocsát ki, semmilyen körülmények között sem tekinthető az Előfizetők vagy az érintett felek ügynökének, megbízottjának, képviselőjének, vagy bármilyen más, az Előfizetői Szerződésben meghatározottól eltérő funkciójú partnerének a hitelesítési tevékenysége vonatkozásában. 16/45

17 Előfizető és az Aláíró felelőssége Az Előfizetőnek és az Aláírónak felelőssége áll fenn a regisztráció során megadott adatainak valódiságával kapcsolatban. Az Előfizetőnek kártérítési felelőssége áll fenn a Szolgáltatóval szemben azokért a veszteségekért és károkért, melyeket a regisztráció során megadott helytelen adataival, vagy az azokban bekövetkezett változások be nem jelentésével, vagy egyéb kötelezettségeinek be nem tartásával számára okoz. Az Előfizető felelős azért, ha magánkulcsát nem a szolgáltatási szabályzatban és a vonatkozó jogszabályokban meghatározott módon és célra használta. Az Előfizető vagy az Aláíró köteles azonnal tájékoztatni a hitelesítés-szolgáltatót az aláírás-létrehozó adatnak illetéktelen személy tudomására jutásáról vagy elvesztéséről. Az Előfizető vagy az Aláíró köteles három napon belül tájékoztatni a hitelesítés-szolgáltatót, ha: a. az azonosításához szükséges személyazonosító adatokról, más személy (szervezet) képviseletében történő aláírásra jogosító elektronikus aláírás esetén a képviseletre, illetőleg aláírásra jogosult személy személyazonosító adatairól, a cégadatokról, továbbá mindezek változásáról; b. az aláírással vagy az így aláírt elektronikusan aláírt elektronikus dokumentummal, illetve a tanúsítvánnyal kapcsolatban észlelt - a szolgáltatási szabályzatban meghatározott - rendellenességről; c. a tanúsítvánnyal ellátott elektronikusan aláírt elektronikus dokumentummal kapcsolatos jogvita megindulásáról. Az Előfizető és az Aláíró felelős az aláírás-létrehozó eszköz biztonságos megőrzéséért, az aláírás-létrehozó eszköz adat és a PIN kód illetéktelenek tudomására jutásának megakadályozásáért. A Szolgáltató nem vállalhat felelősséget az aláírás-létrehozó eszköz elvesztéséből, vagy az aláírás-létrehozó adat (magánkulcs) biztonságának egyéb módon történő sérüléséből, illetve a PIN kód illetéktelen személy tudomására jutásából származó károkért Érintett fél felelőssége Az Érintett fél felelős az elektronikus aláírás és a Szolgáltató által kibocsátott tanúsítványok elfogadása során tanúsított körültekintő ellenőrzésért, valamint a Szolgáltató nyilvánosan elérhető szolgáltatási szabályzata rá vonatkozó részének megismerésért. Érintett fél felelőssége fennáll a tanúsítvány elfogadásából fakadó bármely következményért és kárért, ha a tanúsítvány érvényességének ellenőrzése során nem a tanúsítvány, a szolgáltatási szabályzat, illetve a hatályos jogszabályok szerint jár el Az anyagi felelősség mértéke A Szolgáltató anyagi felelősségének mértékéről, illetve annak korlátairól az általános szerződési feltételekben kell rendelkezni. A Szolgáltató az anyagi felelősségre vonhatóság, az általa okozott károkkal kapcsolatos saját felelősség, illetve a neki okozott károkért járó kártérítés megállapíthatósága, dokumentálása és bizonyíthatósága érdekében köteles naplózni tevékenységeit, védeni a naplóbejegyzések sértetlenségét és hitelességét, valamint hosszú távon megőrizni azokat (lásd: és fejezetek) Értelmezés és alkalmazás Irányadó jog A Szolgáltató tevékenységét a mindenkor hatályos magyar jogszabályoknak megfelelően köteles végezni. Szerződéseire, szabályzataira és azok teljesítésére a magyar jog az irányadó és azok a magyar jog szerint kell értelmezni. A Szolgáltató tevékenységére elsősorban a következő jogszabályok mérvadók: évi XXXV. törvény (Eat.), 3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről 9/2005. (VII. 21.) IHM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról, 45/2005. (III. 11.) Korm. rendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 17/45

18 7/2002 (IV. 26) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatási szakértő nyilvántartásba vételéről. Ezeken túlmenően a Szolgáltatónak az üzleti titkok vonatkozásában az évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról, a személyes adatok vonatkozásban az évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról és az évi CXXII. törvény a polgárok személyes adatainak nyilvántartásáról szóló évi LXVI. tv. módosításáról szerint kell eljárni. Szolgáltató figyelembe veszi még az Európai Parlament és Európa Tanács az elektronikus aláírások közösségi programjáról szóló 1999/93/EK irányelvét, a vonatkozó ITU szabványokat, az Internet közösség RFC ajánlásait és az Európai Unió Távközlési Szabványok Intézetének (ETSI) vonatkozó szabványait Hatályosság, megszűnés, értesítések Hatályosság A hitelesítési rend a szolgáltatási szabályzattal és az általános szerződési feltételekkel kiegészítve a felhasználói közösség résztvevőinek valamennyi kötelezettségét, felelősségét és jogát tartalmazza. A fenti dokumentumok egyetlen pontja sem értelmezhető a jelen dokumentumba foglalt értelmezéstől eltérően. A hitelesítési rend csak írott és hitelesített formában módosítható, a Nemzeti Hírközlési Hatóság által vezetett nyilvántartásban való átvezetés mellett. A hitelesítési rend időbeli hatálya a Nemzeti Hírközlési Hatóság általi nyilvántartásba vételének keltétől egy újabb verzió kiadásáig vagy a szolgáltatási tevékenység megszűntéig tart. A hitelesítési rend személyi és tárgyi hatályát az pont tartalmazza Megszűnés A hitelesítési rend a Szolgáltató szolgáltatási tevékenységének befejezésével tekintendő megszűntnek Értesítések Az Előfizetők, az Aláírók és az Érintett felek vagy bármely harmadik fél megkeresheti az Ügyfélkapcsolati Irodát munkanapokon ügyfélfogadási időben személyesen vagy telefonon, postai úton írásban, -ben vagy faxon. A Szolgáltató Ügyfélszolgálata (Help Desk) folyamatos (7x24 órás) szolgálattal áll rendelkezésre telefonos vagy megkeresés esetén. Az írásban vagy elektronikus úton történő kommunikáció esetében a feladó nevét és elérhetőségét fel kell tüntetni és a feladónak a küldeményt hitelesítenie kell. A Szolgáltató az Előfizetőket és Érintett feleket tipikusan az Internetes honlapján (web oldalain) történő közzététellel, illetve az ügyfélkapcsolati irodákban elérhető dokumentumokkal tájékoztatja. Az ügyfélkapcsolati irodák az Előfizetőket esetenként írásban vagy elektronikus úton is értesíthetik Vitás kérdések kezelése Bármely vitás kérdés felmerülése esetén az Előfizetőnek kötelessége a Szolgáltató haladéktalan értesítése és teljeskörű tájékoztatása a kérdés minden vonatkozását érintően, a vita jogi útra terelése előtt. Panaszt az Előfizetőt nyilvántartó Ügyfélkapcsolati Irodán vagy az Ügyfélszolgálatnál lehet írásban vagy szóban előterjeszteni. A panaszt a Szolgáltató köteles az előterjesztéstől számított 20 munkanapon belül kivizsgálni és ennek eredményéről a panaszost írásban tájékoztatni. A jogviták esetén követendő eljárást az általános szerződési feltételekbe kell foglalni Díjak A Szolgáltató jogosult önálló üzletpolitikát kialakítani és szolgáltatásaiért díjat szedni. A mindenkor érvényes szolgáltatási díjakat a Szolgáltató Internetes honlapján keresztül is közzéteheti Közzététel Szolgáltatói információk közzététele A Szolgáltatónak gondoskodnia kell arról, hogy az általa kibocsátott tanúsítványok, a tanúsítványok használatának feltételei és egyéb közérdekű szolgáltatói információk az Előfizetők és az érintett felek részére folyamatosan rendelkezésére álljanak: a. tanúsítvány típusok b. tanúsítványok használatára vonatkozó ismertetők, szabályzatok, nyomtatványok c. kibocsátott előfizetői és szolgáltatói tanúsítványok d. felfüggesztett és visszavont előfizetői és szolgáltatói tanúsítványok 18/45

19 e. szolgáltatói közlemények A Szolgáltatónak a szolgáltatói információkat saját elektronikus aláírásával hitelesítve - Internetes honlapján keresztül is elérhetővé kell tennie. Szolgáltatónak csak saját elektronikus aláírásával ellátott dokumentumai tekinthetők eredetinek. A honlapról letöltött dokumentumok nyomtatott változatai semmilyen formában sem tekinthetők hivatalos példánynak A közzététel gyakorisága A Szolgáltató Tanúsítványtárát és a Tanúsítvány visszavonási listát 24 óránként frissíti. A Szolgáltató az általa működtetett hitelesítő központok szolgáltatói tanúsítványait 24 órán belül köteles közzétenni Elérési szabályok A Szolgáltató minden Előfizető és Érintett fél számára köteles elérhetővé tenni a szolgáltatás Internetes honlapját, ezen keresztül Tanúsítványtárát olvasás céljából. A Tanúsítványtárban keresési lehetőséget biztosíthat a tanúsítvány sorszáma és az azonosító adatai alapján. A Szolgáltató biztosítja, hogy belső adatbázisait és egyéb adatállományait csak és kizárólag a Szolgáltató biztonsági szabályzatai által meghatározott szerepkörű és jogosultságú munkatársai érhetik el egyénileg differenciált azonosítás-hitelesítési és feljogosítási eljárásban Tanúsítványtár A Szolgáltató az általa kibocsátott tanúsítványokat, a tanúsítványok használatára vonatkozó kikötéseket és feltételeket, valamint a tanúsítvány visszavonási listákat Tanúsítványtárban tárolja és teszi hozzáférhetővé A megfelelőség vizsgálata A Szolgáltatót fokozott biztonságú szolgáltatóként október 30.-án a Nemzeti Hírközlési Hatóság nyilvántartásba vette. A Nemzeti Hírközlési Hatóság a Szolgáltató bejelentése alapján a jelen dokumentumban megnevezett nem minősített tanúsítványtípusokat nyilvántartásába felvette Vizsgálatok gyakorisága A vizsgálatokat a Szolgáltató évente egyszer megismételteti, illetve a törvényi feltételek vagy szolgáltatásban bekövetkezett jelentősebb változások alkalmával soron kívül elvégezteti Az átvizsgáló szervezet és a vizsgált fél kapcsolata A belső auditot a Szolgáltató hitelesítés szolgáltatást végző szervezeti egységétől független informatikai biztonsági menedzser, a külső auditot nyilvános kulcsú infrastruktúra illetve informatikai biztonsági termék és szállítótól független külső auditor cég végzi el A vizsgálatok kiterjedése Az auditorok két fő területet, a hitelesítés szolgáltatás és az informatikai biztonság területét vizsgálják, abból a szempontból, hogy Szolgáltató hitelesítő és biztonsági rendszere, annak személyi és fizikai környezete megfelele a mindenkori hatályos törvényi előírásoknak, valamint a Szolgáltató saját szabályzatainak, első sorban a hitelesítési rendnek, a szolgáltatási és a biztonsági szabályzatoknak Hiányosságok kezelése Az auditor a vizsgálati jelentést a Szolgáltató vezetőjének nyújtja be. A jelentésben megállapított hiányosságok következménye: 1. A hiányosságok nem sértik alapvetően a Szolgáltató tevékenységébe vetett bizalmat, vagy az informatikai biztonságot. A Szolgáltató változatlan formában folytatja tevékenységét, de köteles a hiányosságokat 30 napon belül megszüntetni. 2. Ha a hiányosságok alapvetően érintik a Szolgáltató egyes tevékenységeit, vagy az informatikai biztonság egyes területeit, a Szolgáltatónak fel kell függesztenie a hiányosságok által érintett tevékenységeit a hiányosságok megszüntetéséig. Amennyiben ez a létrehozandó aláírás-létrehozó adatok, eszközök biztonságát vagy a tanúsítványok, visszavonási listák hitelességét veszélyezteti, akkor ezen tevékenységet és a kibocsátott tanúsítványokat fel kell függeszteni. 19/45

20 3. Amennyiben a hiányosságok a Szolgáltatóba vetett bizalmat alapvetően megingatják, a teljes tevékenységét fel kell függeszteni és a kibocsátott tanúsítványokat vissza kell vonni. Eredmény kommunikációja A vizsgálati jelentés belső használatra szolgáló anyag. Azt a Szervezeti és Működési Szabályzatban meghatározott szervezeti egységek vezetői kapják meg. A Szolgáltató nem köteles a feltárt konkrét hiányosságokat nyilvánosságra hozni, de azok alapot adhatnak a Szolgáltató kötelezettségszegésének bizonyítására Bizalmasság Adatkezelési szabályzat Bizalmas információk A Szolgáltató gondoskodik a jogszabályoknak való megfelelésről. Ennek keretén belül: 1. A felvett adatokat védi az elveszéstől, tönkretételtől és hamisítástól. A jogszabályoknak való megfelelés, valamint az alapvető üzleti tevékenységek támogatása érdekében szükség van bizonyos bejegyzések biztonságos megőrzésére is. 2. gondoskodik az adatvédelmi törvényeknek való megfelelésről, 3. megfelelő technikai és szervezeti intézkedéseket hoz a személyes adatok felhatalmazás nélküli, illetve törvénytelen kezelése ellen, valamint a személyes adatok véletlen elveszése, megsemmisülése, illetve károsodása ellen, 4. nyilvántartásba veszi az előfizetővel aláírt megállapodást, beleértve az alábbiakat: 4.1. hozzájárulás a szolgáltatások során felhasznált adatok hitelesítés-szolgáltató által történő nyilvántartásba vételéhez, 4.2. hozzájárulás a nyilvántartásba vett adatok harmadik félhez történő továbbításához, a Szolgáltató szolgáltatásainak leállítása esetén, az erre az esetre vonatkozó szabályzat megkövetelt feltételei szerint, 4.3. az előfizető hozzájárulását a tanúsítvány közzétételéhez, 5. gondoskodik arról, hogy a regisztrációs eljárás során az adatvédelmi jogszabályok követelményei érvényesüljenek, 6. hitelesítési rendje csak annyi bizonyítékot követel meg az azonosításhoz, mely elégséges a tanúsítvány tervezett felhasználásához, 7. gondoskodik az Aláíróra vonatkozó adatok bizalmas kezeléséről, kivéve, ha felfedésükhöz az előfizető hozzájárult, vagy ha bíróság vagy egyéb jogi követelmény ezt előírja, 8. A legmagasabb érzékenységi szintet bizalmasság szempontjából az Aláírók és a hitelesítés szolgáltatók aláírás-létrehozó adatai képezik, ezen belül a legérzékenyebb a szolgáltatói aláírás-létrehozó adat, mert kompromittálódása a Szolgáltató tevékenységének azonnali felfüggesztésével jár. Ezért ezeket az adatokat, illetve az ezeket hordozó eszközöket fokozott biztonsággal kell tárolni és használni. Az aláírás- létrehozó adat biztonságáért a teljes felelősséget az adat tulajdonosa viseli. A Szolgáltató az üzleti titkok kezelésére az évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról és a Szolgáltató Titokvédelmi Szabályzata mérvadó. Így például egyik szerződő fél sem jogosult az Előfizetői Szerződés teljesítése kapcsán tudomására jutott bármely adatot, tényt, információt, tervet vagy dokumentumot a másik fél előzetes írásbeli hozzájárulása nélkül harmadik személynek átadni. A felek az üzleti titok megsértésével okozott kárért a polgári jog általános szabályai szerint felelnek. A személyes adatok vonatkozásban az évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról és az évi CXXII. törvény a polgárok személyes adatainak nyilvántartásáról szóló évi LXVI. törvény módosításáról szóló törvény előírásait kell érvényesíteni. A Fentiek értelmében a Szolgáltató az Előfizetők és az Aláírók személyes adatait csak a közöttük fennálló Előfizetői Szerződéssel összhangban levő célokra használhatja fel, harmadik félnek azokat az Előfizetők írásos hozzájárulása nélkül nem adhatja át, kivéve a pontban meghatározott eseteket. Az Előfizető és az Aláíró a tanúsítvány igénylésével hozzájárul ahhoz, hogy a Szolgáltató személyes adatait tárolja és kezelje. A hozzájárulás egyaránt vonatkozik az adatok aláíróval és előfizetővel való megosztására (ha a két fél különbözik), s nyilvántartásba vett adatok harmadik félhez történő továbbítására, a szolgáltató szolgáltatásainak leállítása esetén. A tanúsítványigénylő űrlapon az Előfizetőnek jeleznie kell a tanúsítvány nyilvánosságra hozatalához történő hozzájárulását. A Szolgáltató által kezelt adatok egy része a tanúsítványba foglalva nyilvánosságra kerül a nyilvános kulcs tulajdonosának azonosítása céljából, másik részét a Szolgáltató védett módon tárolja az Előfizető és az Aláíró azonosságának igazolása és egyéb adatszolgáltatási kötelezettségei céljából. 20/45